Phần mềm độc hại trong chiến dịch này sử dụng các biểu tượng ứng dụng Android phổ biến để đánh lừa người dùng cài đặt trên thiết bị của họ. Các nhà nghiên cứu cho biết, những ứng dụng giả mạo có thể được phân phối trên các trang web lừa đảo, qua email hoặc tin nhắn SMS.
Hình 1. Biểu tượng ứng dụng được phần mềm độc hại sử dụng
Hình 2. Ứng dụng độc hại được cài đặt
Vectơ phân phối trong chiến dịch tấn công hiện chưa rõ ràng. Tuy nhiên, sau khi cài đặt trên điện thoại của người dùng, ứng dụng sẽ yêu cầu được cấp quyền đối với các dịch vụ trợ năng và quyền quản trị viên thiết bị để cung cấp các tính năng quản trị thiết bị ở cấp hệ thống.
Việc có được các quyền này cho phép ứng dụng giả mạo giành được quyền kiểm soát trên điện thoại bị lây nhiễm, có thể thực hiện các hành động tùy ý, từ đánh cắp dữ liệu đến triển khai phần mềm độc hại mà nạn nhân không hề hay biết.
Hình 3. Lời nhắc cấp quyền truy cập
Hình 4. Kích hoạt quản trị thiết bị
Sau đó, ứng dụng độc hại thiết lập kết nối với máy chủ điều khiển và ra lệnh (C2) do tin tặc kiểm soát để nhận lệnh bổ sung và thực hiện các tác vụ cụ thể tương ứng. Ví dụ như chức năng đọc/gửi tin nhắn, đọc nhật ký cuộc gọi, truy cập dữ liệu thông báo và mở các trang web độc hại trong trình duyệt của nạn nhân nhằm mục đích lừa đảo.
Trong Hình 5 có thể nhận lệnh từ máy chủ C2 để truy cập vào một URL cụ thể trong trình duyệt để thu thập thông tin xác thực.
Hình 5. Trình duyệt mở URL cụ thể
Một số tệp HTML độc hại liên quan đến các ứng dụng Android nổi tiếng nằm trong thư mục asset\website.
Hình 6. Các trang HTML lừa đảo
Hình 7. Giao diện đăng nhập của ứng dụng giả mạo
Sau khi lấy thông tin xác thực bằng JavaScript, phần mềm độc hại sẽ đánh cắp mọi thông tin người dùng với chức năng “showTt” và thu thập tất cả các số điện thoại được lưu trữ trên thiết bị của nạn nhân.
Hình 8. Mã ngồn thu thập thông tin xác thực người dùng
Hình 9. Mã nguồn tìm nạp danh sách liên hệ
Theo các nhà nghiên cứu, các ứng dụng độc khai khi được cài đặt sẽ cố gắng thay đổi hình nền của thiết bị thành một tài nguyên cụ thể nếu tham số “str” so khớp với giá trị được giải mã, chẳng hạn như 0, 1 hoặc 2.
Hình 10. Mã nguồn thay đổi hình nền thiết bị
Ngoài ra, phần mềm độc hại còn có khả năng thu thập thông tin về các ứng dụng đã cài đặt trên thiết bị của nạn nhân.
Hình 11. Mã nguồn thu thập thông tin các ứng dụng đã cài đặt
Đoạn mã trong Hình 12 sử dụng “CameraManager” để bật hoặc tắt đèn pin trên máy ảnh của thiết bị nạn nhân.
Hình 12. Mã nguồn chức năng bật, tắt đèn pin của máy ảnh
Google đã thực hiện rất nhiều biện pháp phòng ngừa trong những năm qua để giảm thiểu đáng kể khả năng ứng dụng độc hại xuất hiện trên cửa hàng Google Play Store. Tuy nhiên, người dùng vẫn cần cẩn trọng khi tải bất kỳ ứng dụng mới nào xuống điện thoại Android của mình.
Với các ứng dụng độc hại, muốn thực thi được các chức năng của chúng thì yêu cầu bắt buộc đầu tiên là nó phải được cài đặt trên thiết bị của nạn nhân. Đây là lý do tại sao người dùng cần hết sức cảnh giác khi cài đặt một ứng dụng qua tin nhắn SMS, email hoặc trên mạng xã hội. Nếu ứng dụng không có sẵn trên cửa hàng chính thức và cần được tải xuống dưới dạng tệp APK rồi cài đặt thủ công, đây có thể là một mối đe dọa mà người dùng cần phải chú ý.
Để ngăn chặn việc cài đặt ứng dụng độc hại trên điện thoại Android ngay từ đầu, người dùng nên đảm bảo rằng Google Play Protect được bật vì ứng dụng bảo mật được cài đặt sẵn này sẽ rà quét tất cả các ứng dụng hiện có và bất kỳ ứng dụng mới nào mà người dùng tải xuống để tìm phần mềm độc hại. Đồng thời, người dùng cũng nên cân nhắc để cài đặt các chương trình, phần mềm chống virus nổi tiếng để tăng cường biện pháp bảo mật trên thiết bị.
Thu Hà
(Tổng hợp)
10:00 | 22/04/2024
08:00 | 02/01/2025
08:00 | 11/06/2024
10:00 | 22/04/2024
15:00 | 19/02/2024
13:00 | 13/01/2025
Lừa đảo mạo danh đang là chiêu trò kẻ tấn công sử dụng trên không gian mạng Việt Nam và quốc tế. Lừa đảo qua email giả mạo dịch vụ bảo mật Windows và mạo danh doanh nghiệp bưu chính là 2 thủ đoạn vừa được các chuyên gia cảnh báo.
08:00 | 22/12/2024
Trang web chuyên đăng tải các bài báo về phòng chống lừa đảo mạng Scam Sniffer cho biết, trong thời gian gần đây kẻ tấn công đã cài phần mềm chứa mã độc vào các trang web giả mạo được lập ra với mục đích để xác thực tài khoản Telegram của người dùng.
11:00 | 29/11/2024
Microsoft đã thu giữ 240 tên miền được khách hàng của nền tảng dịch vụ lừa đảo qua mạng ONNX sử dụng để nhắm vào các cá nhân và tổ chức của Mỹ và trên toàn thế giới kể từ năm 2017.
09:00 | 05/11/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Halcyon (Mỹ) đã phát hiện ra một phiên bản mới của mã độc tống tiền Qilin với các tính năng mã hóa nâng cao, lẩn tránh bị phát hiện bởi các công cụ bảo mật và phá vỡ cơ chế phục hồi dữ liệu.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025